Europese Privacyverordening, wat moet je ermee? Stap 1: inventarisatie

Europese Privacyverordening, wat moet je ermee? Stap 1: inventarisatie

In mijn blog van 1 december jl. heb ik beschreven dat je als bedrijf de nodige verplichtingen hebt op grond van de Europese Privacyverordening (AVG), en dat er forse boetes opgelegd kunnen worden indien je niet aan deze verplichtingen voldoet.

Om je te helpen aan de verplichtingen in de AVG te voldoen, heb ik ook een stappenplan opgenomen waar je binnen jouw bedrijf mee aan de slag kunt. Zoals aangekondigd, zal ik alle stappen nader uitwerken in aparte blogs. Om te beginnen bij stap 1: Inventarisatie verwerking persoonsgegevens.

Waarom inventariseren?

Voordat andere stappen gezet kunnen worden, is het eerst van belang om te inventariseren welke persoonsgegevens nu eigenlijk verwerkt worden binnen jouw bedrijf. Dit is namelijk bepalend voor wat je in je documentatie opneemt (stap 3), voor hoe streng de beveiliging moet zijn (stap 4), voor de inhoud van de verwerkersovereenkomsten (stap 7), enzovoorts.

Door eerst te inventariseren, kom je er bijvoorbeeld achter of er bijzondere (gevoelige) persoonsgegevens worden verwerkt. Als dit het geval is, moet je aan diverse extra verplichtingen voldoen. Ook kun je bij de inventarisatie vaststellen of jouw bedrijf ten aanzien van de persoonsgegevens als “verantwoordelijke” is aan te merken of als “verwerker”. Ook dit is een cruciaal onderscheid, aangezien voor beide rollen verschillende verplichtingen gelden. Tevens is het van belang om te onderzoeken op welke grondslag de persoonsgegevens worden verwerkt. Je moet namelijk wel een goede grondslag hebben voor de verwerking, anders is het verwerken van de persoonsgegevens überhaupt niet toegestaan.

Hoe pak ik dit aan?

De beste aanpak voor het inventariseren van persoonsgegevens is afhankelijk van de omvang en organisatie van jouw bedrijf. Indien je een kleiner bedrijf hebt met weinig personeel, ben je waarschijnlijk zelf behoorlijk goed op de hoogte van welke persoonsgegevens binnenkomen en wat er vervolgens mee gebeurt. Dan hoef je de informatie niet in de organisatie op te halen.

Indien jouw bedrijf enige omvang heeft en in verschillende afdelingen is verdeeld, dan zullen jouw medewerkers waarschijnlijk het beste weten welke persoonsgegevens verwerkt worden, hoe lang, door wie, en met welke reden. Dan werkt het in de praktijk vaak goed om een klein “projectgroepje” samen te stellen, waarin één medewerker per afdeling plaatsneemt. Binnen verschillende afdelingen kunnen immers verschillende persoonsgegevens verwerkt worden; door met een projectgroepje te werken voorkom je dat er gegevens worden vergeten.

Bij de inventarisatie moet je ofwel jezelf, ofwel de medewerkers in de projectgroep (in ieder geval) de volgende vragen stellen:

  1. Welke persoonsgegevens worden er verwerkt?
  2. In welke rol worden deze persoonsgegevens verwerkt? (Verantwoordelijke of Verwerker)
  3. Wat is het doel van de verwerking van deze persoonsgegevens?
  4. Op welke plekken worden de persoonsgegevens bewaard?
  5. Hoe lang worden de persoonsgegevens bewaard?
  6. Hoe hoog is bij deze persoonsgegevens de kans op een datalek met nadelige gevolgen voor de betrokkenen? (schaal van 1 tot 5)
  7. Zijn er concrete aanbevelingen met betrekking tot de verwerking van deze persoonsgegevens?

De antwoorden op deze vragen kunnen het beste worden bijgehouden in een Excelsheet. Deze Excellijst vormt vervolgens tevens de basis voor het (mogelijk) verplicht op te stellen verwerkingsregister (hierover later meer bij stap 3, Documentatie).

Belangrijke begrippen uitgelegd

Bij het inventariseren komen diverse begrippen aan bod. Hieronder lichten we de belangrijkste begrippen kort toe.

  • Persoonsgegeven: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de ‘betrokkene’).” (artikel 4.1 AVG)

Bedrijfsgegevens zijn dus géén persoonsgegevens. Een geïdentificeerde of identificeerbare persoon wordt zeer ruim opgevat. Een IP-adres en een kenteken zijn bijvoorbeeld persoonsgegevens,     terwijl de gemiddelde burger aan de hand van deze gegevens niet kan bepalen om welke persoon het gaat. Het is voldoende dat iemand (een internetprovider of de RDW) met deze gegevens de achterliggende persoon kan registreren.

  • Verwerking: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via automatische procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.” (artikel 4.2 AVG)

Ook het begrip ‘verwerking’ wordt dus zeer ruim uitgelegd, vrijwel iedere handeling ten aanzien van persoonsgegevens is aan te merken als een verwerking.

  • Verantwoordelijke: “een natuurlijke persoon of rechtspersoon (…) die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.” (artikel 4.7 AVG)

Degene die bepaalt dat de persoonsgegevens worden verwerkt en waarom, is dus als verantwoordelijke aan te merken. Dit is niet altijd eenduidig vast te stellen, soms kan hier discussie over ontstaan.

  • Verwerker: “een natuurlijke persoon of rechtspersoon (…) die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.” (artikel 4.8 AVG)

De verwerker verwerkt de persoonsgegevens in opdracht van de verantwoordelijke. Dus bijvoorbeeld bij salarisgegevens van personeel is de werkgever de verantwoordelijke, en het accountantskantoor dat de salarisverwerking in opdracht van de verantwoordelijke uitvoert de verwerker.

Tot slot

Door te beginnen met een inventarisatie van welke persoonsgegevens verwerkt worden binnen jouw bedrijf, weet je hoe zwaar je moet tillen aan de verplichtingen in de AVG. Het zou zelfs zo kunnen zijn dat binnen jouw bedrijf géén persoonsgegevens verwerkt worden, en de AVG dus niet van toepassing is. Dan ben je snel klaar!

Helaas blijkt in de praktijk dat vrijwel ieder bedrijf wel enkele persoonsgegevens verwerkt, dus waarschijnlijk ontkom je er niet aan om ook de volgende stappen uit ons stappenplan te zetten. Heb je vragen omtrent de inventarisatie van persoonsgegevens of ben je op zoek naar iemand die de projectgroep binnen jouw bedrijf kan begeleiden, bel of mail dan gerust.

In mijn volgende blog bespreek ik Stap 2: het vaststellen van de gewenste situatie.

Auteur

Sanne Deunk-Freriks

Jurist BonsenReuling
Als jurist bij BonsenReuling houd ik mij, naast de algemene MKB-adviespraktijk, graag bezig met juridische vraagstukken op het gebied van online ondernemen. Dit varieert van vraagstukken inzake privacyrecht tot vraagstukken met betrekking tot intellectueel eigendomsrecht, telecommunicatierecht en algemeen contractenrecht. Ik streef ernaar ondernemers op een praktische manier juridisch te ontzorgen, zodat zij zich zo veel mogelijk kunnen bezighouden met waar ze goed in zijn.

Daarnaast maak ik deel uit van het kernteam van juristenindezorg.nl, met welk team we zorginstellingen ontzorgen op het gebied van HR en P&O. Dit doen we op onze eigen praktische wijze, met kennis van zowel juridische, fiscale, bedrijfseconomische als pensioentechnische aspecten.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *